一種具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法
【專利摘要】本發(fā)明公開(kāi)了一種具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，包括以下步驟：1)：攜帶公鑰的進(jìn)程(PP)由進(jìn)程管理模塊(PM)啟動(dòng)運(yùn)行，并提交公鑰給進(jìn)程管理模塊；2)PM收到公鑰后，將公鑰提交給認(rèn)證模塊(CA)，從而激活認(rèn)證模塊(CA)運(yùn)行；3)CA獲得公鑰后，從指定位置提取私鑰，并使用指定算法進(jìn)行認(rèn)證，然后將認(rèn)證結(jié)果返回給進(jìn)程管理模塊(PM)；4)如果認(rèn)證通過(guò)，PM允許PP繼續(xù)運(yùn)行，否者，禁止攜帶公鑰的進(jìn)程(PP)運(yùn)行。該具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法提供了一種進(jìn)程可信認(rèn)證機(jī)制來(lái)判斷進(jìn)程是否可信，從而阻止不安全或不可信的進(jìn)程在系統(tǒng)中的運(yùn)行，保證系統(tǒng)安全。
【專利說(shuō)明】一種具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法。
【背景技術(shù)】
[0002]隨著信息技術(shù)的發(fā)展，系統(tǒng)安全問(wèn)題已經(jīng)被廣泛關(guān)注，加之“棱鏡門事件”之后，系統(tǒng)安全問(wèn)題再次被聚焦，尤其在一些特種領(lǐng)域(如保密、安全等)對(duì)系統(tǒng)的安全性提出了更高要求。
[0003]系統(tǒng)是否安全的實(shí)現(xiàn)方法有多種，比如:殺毒軟件通過(guò)截取應(yīng)用程序關(guān)鍵信息來(lái)判斷該程序是否是病毒，從而保證系統(tǒng)安全；通過(guò)加密技術(shù)保證系統(tǒng)關(guān)鍵信息或數(shù)據(jù)的安全等。這些方法能夠提供一定的安全特性，但是也存在較大的局限性，因?yàn)檫@些方法都建立在應(yīng)用層，不屬于操作系統(tǒng)內(nèi)核，因此其本身的安全性就存在問(wèn)題，那么保護(hù)作用也存在局限。
[0004]因此，有必要設(shè)計(jì)一種安全性更高的操作系統(tǒng)的實(shí)現(xiàn)方法。

【發(fā)明內(nèi)容】

[0005]本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，該具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法提供了一種進(jìn)程可信認(rèn)證機(jī)制來(lái)判斷進(jìn)程是否可信，從而阻止不安全或不可信的進(jìn)程在系統(tǒng)中的運(yùn)行，保證系統(tǒng)安全。
[0006]易于實(shí)施，校準(zhǔn)精度高。
[0007]發(fā)明的技術(shù)解決方案如下:
[0008]一種具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，該安全操作系統(tǒng)以Linux操作系統(tǒng)為平臺(tái)，包括以下步驟:
[0009]I):攜帶公鑰的進(jìn)程(PP)由進(jìn)程管理模塊(PM)啟動(dòng)運(yùn)行，并提交公鑰給進(jìn)程管理模塊，此后攜帶公鑰的進(jìn)程進(jìn)入等待狀態(tài)；
[0010]2)進(jìn)程管理模塊(PM)收到公鑰后，將公鑰提交給認(rèn)證模塊(CA)，從而激活認(rèn)證模塊(CA)運(yùn)行；
[0011]3)認(rèn)證模塊(CA)獲得公鑰后，從指定位置提取私鑰，并使用指定算法進(jìn)行認(rèn)證，然后將認(rèn)證結(jié)果返回給進(jìn)程管理模塊(PM)；
[0012]4)如果認(rèn)證通過(guò)，進(jìn)程管理模塊(PM)允許攜帶公鑰的進(jìn)程(PP)繼續(xù)運(yùn)行，如果認(rèn)證不通過(guò)，進(jìn)程管理模塊(PM)禁止攜帶公鑰的進(jìn)程(PP)運(yùn)行。
[0013]進(jìn)程管理模塊(PM)以管道或消息隊(duì)列方式將公鑰提交給認(rèn)證模塊(CA)。
[0014]由在硬件系統(tǒng)中的私鑰生成器提供私鑰。(說(shuō)明:也可以通過(guò)軟件來(lái)獲取私鑰)
[0015]所述的指定算法為支持2048位密鑰的RSA非對(duì)稱加密算法。
[0016]在硬件系統(tǒng)中設(shè)置一個(gè)用于生成私鑰的加密芯片；并在存儲(chǔ)器中開(kāi)辟一塊特定存儲(chǔ)區(qū)域用于存儲(chǔ)與加密和解密相關(guān)的數(shù)據(jù)；所述的存儲(chǔ)器為內(nèi)存或FLASH存儲(chǔ)器；認(rèn)證模塊采用以下步驟實(shí)施認(rèn)證:[0017]I)通過(guò)加密芯片的驅(qū)動(dòng)程序從加密芯片讀出私鑰；
[0018]2)將私鑰保存到特定存儲(chǔ)區(qū)域；
[0019]3)使用RSA算法對(duì)傳入的公鑰進(jìn)行解密，完成認(rèn)證。
[0020]所述的特定存儲(chǔ)區(qū)域只由認(rèn)證過(guò)程對(duì)應(yīng)的程序使用，在解密過(guò)程中，私鑰及與私鑰相關(guān)的數(shù)據(jù)均存儲(chǔ)在該特定存儲(chǔ)區(qū)域內(nèi)，而不使用系統(tǒng)其他存儲(chǔ)區(qū)域進(jìn)行存儲(chǔ)，解密完成后對(duì)特定存儲(chǔ)區(qū)域進(jìn)行清空；
[0021]所述的在存儲(chǔ)器中開(kāi)辟一塊特定存儲(chǔ)區(qū)域的方法為:通過(guò)Boot Loader啟動(dòng)程序?qū)Υ鎯?chǔ)器的物理地址空間進(jìn)行分配，即分為的被隱藏的地址區(qū)段和不受限制的地址區(qū)段；隱藏地址區(qū)段對(duì)應(yīng)于特定存儲(chǔ)區(qū)域，又稱為受限制的地址區(qū)段；在％於Loader啟動(dòng)程序中，通過(guò)配置處理器的基地址寄存器以及地址映射關(guān)系，使得Linux操作系統(tǒng)在建立MMU管理時(shí)，只在不受限制的地址區(qū)段上進(jìn)行，而被隱藏的地址區(qū)段不參與MMU建立；使得在Linux系統(tǒng)啟動(dòng)后，MMU只能管理不受限制的物理地址區(qū)段；而被隱藏地址區(qū)段對(duì)MMU不可見(jiàn)，經(jīng)過(guò)以上處理后，除認(rèn)證模塊對(duì)應(yīng)的程序外，Linux操作系統(tǒng)及Linux操作系統(tǒng)上運(yùn)行的程序都不能直接訪問(wèn)該被隱藏的地址區(qū)段；
[0022]通過(guò)認(rèn)證模塊對(duì)應(yīng)的程序?qū)υ摱坞[藏的物理地址進(jìn)行訪問(wèn)的實(shí)現(xiàn)方法為:該驅(qū)動(dòng)程序不通過(guò)MMU的地址映射而是采用物理地址對(duì)該被隱藏的地址區(qū)段進(jìn)行操作。
[0023]認(rèn)證程序(CA)在操作系統(tǒng)啟動(dòng)后便開(kāi)始運(yùn)行，并一直處于等待狀態(tài)。
[0024]在這個(gè)機(jī)制中，CA對(duì)PP不可見(jiàn)，只由PM調(diào)度；PM與CA之間，必須通過(guò)管道、消息隊(duì)列等方式交互信息。
[0025]在Linux操作系統(tǒng)內(nèi)核中，實(shí)現(xiàn)對(duì)進(jìn)程的可信認(rèn)證機(jī)制。要實(shí)現(xiàn)這種機(jī)制需要完成以下幾步工作:
[0026]I)優(yōu)化進(jìn)程管理模塊(PM)。Linux操作系統(tǒng)本身具有進(jìn)程管理調(diào)度功能，但是沒(méi)有對(duì)進(jìn)程進(jìn)行認(rèn)證的能力，因此需要在PM創(chuàng)建進(jìn)程之前增加認(rèn)證過(guò)程。
[0027]2)增加認(rèn)證模塊(CA)。此模塊新增到操作系統(tǒng)中，用來(lái)對(duì)進(jìn)程進(jìn)行認(rèn)證。CA只由PM調(diào)度，通過(guò)消息隊(duì)列或管道與PM交互信息，對(duì)其它進(jìn)程不可見(jiàn)。
[0028]3)進(jìn)程攜帶公鑰的方式，由發(fā)起方實(shí)現(xiàn)。操作系統(tǒng)中的PM只對(duì)公鑰進(jìn)行收集，并提交給CA進(jìn)行認(rèn)證，并依據(jù)認(rèn)證結(jié)果決定是否創(chuàng)建進(jìn)程。
[0029]以上這些工作均體現(xiàn)在具體的前述的主步驟中。
[0030]本發(fā)明通過(guò)進(jìn)程可信認(rèn)證來(lái)判斷該進(jìn)程是否安全、可信，從而決定它的運(yùn)行結(jié)果。
[0031]有益效果:
[0032]本發(fā)明的具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，在整個(gè)系統(tǒng)中，PP必須通過(guò)認(rèn)證后才能正確運(yùn)行，因此實(shí)現(xiàn)這種機(jī)制的Linux操作系統(tǒng)就是一種具有安全特性的操作系統(tǒng)。這種安全操作系統(tǒng)由于可對(duì)PP進(jìn)行認(rèn)證，因此增強(qiáng)了操作系統(tǒng)的安全性，從而阻止不安全、不可信的進(jìn)程對(duì)系統(tǒng)的破壞。
[0033]本發(fā)明的核心在于提供一種進(jìn)程可信的認(rèn)證機(jī)制，該機(jī)制屬于操作系統(tǒng)的一部分，不僅自身是安全的，也可以保證系統(tǒng)的安全，從而阻止不可信任的進(jìn)程運(yùn)行。
[0034]本發(fā)明的方法可對(duì)操作系統(tǒng)中運(yùn)行的進(jìn)程進(jìn)行認(rèn)證，從而判斷其是否可信。這些進(jìn)程可由軟件程序發(fā)起，也可由硬件設(shè)備發(fā)起，這些進(jìn)程攜帶公鑰，請(qǐng)求認(rèn)證，只有認(rèn)證通過(guò)后，才能得到進(jìn)程管理的完整調(diào)度并運(yùn)行，如果沒(méi)有通過(guò)，那么將會(huì)被停止調(diào)度，不再運(yùn)行。這樣可阻止不信任或不安全的進(jìn)程在系統(tǒng)中的運(yùn)行，從而確保系統(tǒng)安全。
[0035]通過(guò)進(jìn)程的可信認(rèn)證，可以阻止那些未通過(guò)認(rèn)證的進(jìn)程在系統(tǒng)中的運(yùn)行，防止它們破壞系統(tǒng)，或非法對(duì)系統(tǒng)中的重要數(shù)據(jù)、設(shè)備進(jìn)行操作，從而使得整個(gè)系統(tǒng)在安全的環(huán)境中運(yùn)行。這種系統(tǒng)可應(yīng)用到對(duì)安全、保密有特殊要求的領(lǐng)域，最大限度的提供安全服務(wù)及應(yīng)用。
【專利附圖】

【附圖說(shuō)明】
[0036]圖1為具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法對(duì)應(yīng)的原理圖。
【具體實(shí)施方式】
[0037]以下將結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明做進(jìn)一步詳細(xì)說(shuō)明:
[0038]實(shí)施例1:
[0039]私鑰生成器采用提供2048位私鑰的支持RSA非對(duì)稱加密算法的芯片，CA認(rèn)證模塊從該生成器中獲取私鑰，并使用RSA非對(duì)稱算法認(rèn)證公鑰。
[0040]由系統(tǒng)的使用者或最終用戶，授權(quán)哪些進(jìn)程可以在這個(gè)系統(tǒng)中運(yùn)行，只有這些進(jìn)程是安全可信的，才能獲得并攜帶公鑰；那些系統(tǒng)使用者或最終用戶未知的、不授權(quán)的進(jìn)程都為不可信或不安全進(jìn)程，它們不可能得到公鑰。因此公鑰的授權(quán)由系統(tǒng)使用者或最終用戶決定并維護(hù)，從而確認(rèn)哪些進(jìn)程是可擁有公鑰的。
[0041]如圖1，提供進(jìn)程可信認(rèn)證的安全操作系統(tǒng)相關(guān)功能模塊按下列流程執(zhí)行或?qū)崿F(xiàn):
[0042]1.PM進(jìn)程管理模 塊在創(chuàng)建進(jìn)程時(shí)，要求進(jìn)程提交公鑰，如果該進(jìn)程不能提交公鑰，那么直接將進(jìn)程KILL【終止】;如果該進(jìn)程提交了公鑰，那么PM先將進(jìn)程掛起，不對(duì)其進(jìn)行系統(tǒng)資源分配或調(diào)度；
[0043]2.PM將進(jìn)程提交的公鑰放入管道或消息隊(duì)列，并激活CA認(rèn)證模塊；
[0044]3.在操作系統(tǒng)啟動(dòng)時(shí)，CA就被加載運(yùn)行，并進(jìn)入等待狀態(tài)，由PM激活后，從管道或消息隊(duì)列獲得公鑰；
[0045]4.CA再?gòu)闹付ㄋ借€生成器中獲得私鑰，并使用RSA非對(duì)稱加密算法認(rèn)證公鑰，私鑰的存取及其認(rèn)證過(guò)程均在特定的存儲(chǔ)區(qū)域【隱藏地址段】完成，不使用MMU可管理的儲(chǔ)存區(qū)域，保證私鑰的安全性；
[0046]5.CA將認(rèn)證結(jié)果放入管道或消息隊(duì)列，并通知PM ；
[0047]6.PM從管道或消息隊(duì)列獲得認(rèn)證結(jié)果，如果結(jié)果是認(rèn)證通過(guò)，那么PM將為該進(jìn)程分配系統(tǒng)資源，并調(diào)度運(yùn)行；如果結(jié)果是認(rèn)證不通過(guò)，那么PM將不分配系統(tǒng)資源給該進(jìn)程，并KILL該進(jìn)程。
[0048]在整個(gè)實(shí)現(xiàn)過(guò)程中，CA與PM必須通過(guò)管道或消息隊(duì)列進(jìn)行信息交互，以保證CA模塊的安全；CA對(duì)其它進(jìn)程不可見(jiàn)，只接受PM調(diào)度；私鑰發(fā)生器由CA訪問(wèn)，并提供2048位的私鑰。
[0049]該操作系統(tǒng)的硬件平臺(tái)為嵌入式設(shè)備為平板電腦，處理器為Exynos4412, FLASH存儲(chǔ)器采用NAND FLASH存儲(chǔ)器；內(nèi)存為DDR3內(nèi)存；還包括用于讀寫SD/TF器件的SD/TF插口 ；選用具有UART、I2C、SPI, PCI, USB任一接口的加密芯片，該加密芯片能提供2048位的私鑰。
[0050]加密芯片采用TF32A09器件。該芯片用來(lái)提供私鑰給認(rèn)證程序，且只接受認(rèn)證程序的操作。
[0051 ] 在Boot Loader啟動(dòng)程序中，通過(guò)配置處理器的基地址寄存器以及地址映射關(guān)系，使得Linux操作系統(tǒng)在建立MMU管理時(shí)，只在不受限制的地址區(qū)段上進(jìn)行，而被隱藏的地址區(qū)段不參與MMU建立。這樣在Linux系統(tǒng)啟動(dòng)后，MMU只能管理不受限制的物理地址區(qū)段(包括地址映射、頁(yè)表建立等)；而被隱藏地址區(qū)段對(duì)MMU不可見(jiàn),換而言之MMU根本不知道。經(jīng)過(guò)以上處理后，Linux操作系統(tǒng)及其上運(yùn)行的程序都不能直接訪問(wèn)該被隱藏的地址區(qū)段，甚至不知道有這段地址的存在。驅(qū)動(dòng)程序(如本發(fā)明的認(rèn)證程序)采用物理地址(實(shí)地址)對(duì)這段地址區(qū)域進(jìn)行操作，類似于UBOOT程序中的地址操作方式，不考慮MMU的地址映射。對(duì)于不同的存儲(chǔ)器件，該驅(qū)動(dòng)程序?qū)崿F(xiàn)的方法會(huì)不同，比如，若采用NAND FLASH存儲(chǔ)器件作為隱藏地址的載體，因此該驅(qū)動(dòng)程序必須針對(duì)NAND FLASH實(shí)現(xiàn)塊設(shè)備的底層讀寫操作。
【權(quán)利要求】
1.一種具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，該安全操作系統(tǒng)以Linux操作系統(tǒng)為平臺(tái)，其特征在于，包括以下步驟: 1):攜帶公鑰的進(jìn)程(PP)由進(jìn)程管理模塊(PM)啟動(dòng)運(yùn)行，并提交公鑰給進(jìn)程管理模塊，此后攜帶公鑰的進(jìn)程進(jìn)入等待狀態(tài)； 2)進(jìn)程管理模塊(PM)收到公鑰后，將公鑰提交給認(rèn)證模塊(CA)，從而激活認(rèn)證模塊(CA)運(yùn)行； 3)認(rèn)證模塊(CA)獲得公鑰后，從指定位置提取私鑰，并使用指定算法進(jìn)行認(rèn)證，然后將認(rèn)證結(jié)果返回給進(jìn)程管理模塊(PM)； 4)如果認(rèn)證通過(guò)，進(jìn)程管理模塊(PM)允許攜帶公鑰的進(jìn)程(PP)繼續(xù)運(yùn)行，如果認(rèn)證不通過(guò)，進(jìn)程管理模塊(PM)禁止攜帶公鑰的進(jìn)程(PP)運(yùn)行。
2.根據(jù)其權(quán)利要求1所述的具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，其特征在于，進(jìn)程管理模塊(PM)以管道或消息隊(duì)列方式將公鑰提交給認(rèn)證模塊(CA)。
3.根據(jù)其權(quán)利要求1所述的具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，其特征 在于，由在硬件系統(tǒng)中的私鑰生成器提供私鑰。
4.根據(jù)其權(quán)利要求1-3任一項(xiàng)所述的具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，其特征在于，所述的指定算法為支持2048位密鑰的RSA非對(duì)稱加密算法。
5.根據(jù)其權(quán)利要求2所述的具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，其特征在于，在硬件系統(tǒng)中設(shè)置一個(gè)用于生成私鑰的加密芯片；并在存儲(chǔ)器中開(kāi)辟一塊特定存儲(chǔ)區(qū)域用于存儲(chǔ)與加密和解密相關(guān)的數(shù)據(jù)；所述的存儲(chǔ)器為內(nèi)存或FLASH存儲(chǔ)器；認(rèn)證模塊采用以下步驟實(shí)施認(rèn)證: 1)通過(guò)加密芯片的驅(qū)動(dòng)程序從加密芯片讀出私鑰； 2)將私鑰保存到特定存儲(chǔ)區(qū)域； 3)使用RSA算法對(duì)傳入的公鑰進(jìn)行解密，完成認(rèn)證。
6.根據(jù)其權(quán)利要求5所述的具有進(jìn)程可信認(rèn)證的安全操作系統(tǒng)的實(shí)現(xiàn)方法，其特征在于，所述的特定存儲(chǔ)區(qū)域只由認(rèn)證過(guò)程對(duì)應(yīng)的程序使用，在解密過(guò)程中，私鑰及與私鑰相關(guān)的數(shù)據(jù)均存儲(chǔ)在該特定存儲(chǔ)區(qū)域內(nèi)，而不使用系統(tǒng)其他存儲(chǔ)區(qū)域進(jìn)行存儲(chǔ)，解密完成后對(duì)特定存儲(chǔ)區(qū)域進(jìn)行清空； 所述的在存儲(chǔ)器中開(kāi)辟一塊特定存儲(chǔ)區(qū)域的方法為:通過(guò)Boot Loader啟動(dòng)程序?qū)Υ鎯?chǔ)器的物理地址空間進(jìn)行分配，即分為的被隱藏的地址區(qū)段和不受限制的地址區(qū)段；隱藏地址區(qū)段對(duì)應(yīng)于特定存儲(chǔ)區(qū)域，又稱為受限制的地址區(qū)段；在％於Loader啟動(dòng)程序中，通過(guò)配置處理器的基地址寄存器以及地址映射關(guān)系，使得Linux操作系統(tǒng)在建立MMU管理時(shí)，只在不受限制的地址區(qū)段上進(jìn)行，而被隱藏的地址區(qū)段不參與MMU建立；使得在Linux系統(tǒng)啟動(dòng)后，MMU只能管理不受限制的物理地址區(qū)段；而被隱藏地址區(qū)段對(duì)MMU不可見(jiàn)，經(jīng)過(guò)以上處理后，除認(rèn)證模塊對(duì)應(yīng)的程序外，Linux操作系統(tǒng)及Linux操作系統(tǒng)上運(yùn)行的程序都不能直接訪問(wèn)該被隱藏的地址區(qū)段； 通過(guò)認(rèn)證模塊對(duì)應(yīng)的程序?qū)υ摱坞[藏的物理地址進(jìn)行訪問(wèn)的實(shí)現(xiàn)方法為:該驅(qū)動(dòng)程序不通過(guò)MMU的地址映射而是采用物理地址對(duì)該被隱藏的地址區(qū)段進(jìn)行操作。
【文檔編號(hào)】G06F21/72GK103617388SQ201310673915
【公開(kāi)日】2014年3月5日 申請(qǐng)日期:2013年12月11日 優(yōu)先權(quán)日:2013年12月11日
【發(fā)明者】劉智臣, 肖弱, 譚永祥, 孫文德, 聶世剛, 黃波 申請(qǐng)人:長(zhǎng)城信息產(chǎn)業(yè)股份有限公司, 長(zhǎng)沙湘計(jì)海盾科技有限公司